事件经过
Flowise 版本 2.2.7-patch.1 及更早版本在自定义 MCP 功能中存在未沙箱化的 RCE 漏洞,该功能设计用于执行操作系统命令以启动本地 MCP 服务器。由于 Flowise 的身份验证模型最少且默认禁用身份验证,未经身份验证的攻击者可以伪造内部请求头并提供任意操作系统命令,这些命令以 Flowise 进程的权限执行,从而实现完整的容器妥协。
影响分析
Flowise 是一个广泛部署的无代码 LLM/代理编排平台。MCP 功能旨在供受信任的本地使用,但暴露了一个直接的操作系统命令执行路径,没有沙箱隔离。未经身份验证的利用意味着任何网络可达的 Flowise 实例都是完整的 RCE 目标 — 攻击者可以窃取所有嵌入的 API 密钥、模型配置和代理工具凭证,或枢纽到已连接的服务。
攻击途径
攻击者向 /api/v1/node-load-method/customMCP 端点发送带有头部 'x-request-from: internal' 的精心构造的 JSON 负载;无需凭证。自定义 MCP 功能直接执行操作系统命令而不进行沙箱隔离,导致完整的容器/服务器妥协。
受影响系统
Flowise ≤ 2.2.7-patch.1(已在 3.0.6 中修复)
缓解措施
升级到 Flowise 3.0.6。公告:https://github.com/FlowiseAI/Flowise/security/advisories/GHSA-6933-jpx5-q87q